取得した個人情報を利用して本人へアクセスを行う場合の遵守事項を規定した要求事項が「3.4.2.7 本人にアクセスする場合の措置」となります。
取得した個人情報を利用して本人にアクセスするには
取得した個人情報を利用して本人にアクセスする際の要求事項を規定したものが「3.4.2.7 本人にアクセスする場合の措置」で、本人にアクセスする場合は、前述した3.4.2.4のa)~f)の内容と同等以上の内容を通知し、同意を得ることを要求しています。
なお、この要求事項にも適用除外とするケースが、以下の通りに規定されています。
- 事前に3.4.2.4のa)~f)の内容を通知し、同意を得ている場合
- 委託を受けている場合で、利用目的の範囲内で取り扱う場合
- 合併やその他の事由によって事業を継承する場合
(事前に前事業者が3.4.2.4のa)~f)の内容を通知し、同意を得ており、継承前の利用目的の範囲で個人情報を取扱う場合のみ)
- 共同利用の場合
(事前に共同利用者が3.4.2.4のa)~f)の内容を通知し、同意を得ていることにくわえ、以下の事項を通知するか公表している場合のみ)
ー共同利用すること、対象の個人情報、利用者の範囲、目的、責任者及び取得の方法
- 3.5.2.5のd(取得の状況から見て利用目的が明らかであると認められる場合)に該当する場合で、その個人情報を利用して本人にアクセスする場合
- 3.4.2.6のa)~d)に該当する場合(個人情報保護法の第16条3項と同等の内容)
あわせて「本人にアクセスすること」、「取得方法を通知すること」及び「同意の例」について「JIS Q 15001:2006 解説 3.4.7」では、以下のように解説しています。
- 本人にアクセスすること
本人に対し、郵便、電話、又はメールなどで連絡することや接触すること
- 取得方法を通知すること
取得源や取得の経緯を通知すること
- 同意の例
DMを発送する場合は、最初のDMに通知文書を同封し、同意を得られれば継続してDMを発送することが可能となる。
(回答がなかった場合に黙示の同意を解釈することは不適切)
以上のことからこの要求事項では「3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置」によって取得した個人情報を利用して、本人へアクセスする場合の措置を規定しています。
したがって、本人へアクセスすることが必要な場合は本要求事項が適用されますし、取得した個人情報を本人へアクセスすることなく利用する場合は「利用目的」の公表または通知ですむ、ということになります。
個人情報保護法との関連
本人にアクセスする場合の具体的な条文について、個人情報保護法では該当するものはありません。
したがって「3.4.2.7 本人にアクセスする場合の措置」は、規格特有の要求事項となります。